萬科公司風險管理制度總則制度目的本制度旨在規范萬科公司（以下簡稱“公司”）的風險管理行為，識別、評估、應對各類風險，保障公司戰略目標的實現，維護公司的穩健運營，保護股東、員工及其他利益相關者的合法權益。適用范圍本制度適用于萬科公司總部及所屬各子公司、分公司。風險管理原則1.全面性原則：風險管理應覆蓋公司所有業務活動、所有部門和所有員工，貫穿決策、執行和監督的全過程。2.一致性原則：風險管理的目標、政策和程序應在公司內部保持一致，確保各項風險管理措施的有效實施。3.制衡性原則：公司應通過合理設置部門和崗位，明確職責分工，形成相互制約、相互監督的機制，防止權力濫用和風險集中。4.審慎性原則：風險管理應充分考慮各種風險因素，保持謹慎態度，確保風險應對措施的有效性和可靠性。5.成本效益原則：風險管理應在有效控制風險的前提下，合理權衡成本與效益，確保風險管理活動的經濟性。風險識別與評估風險識別1.風險識別范圍戰略風險：包括宏觀經濟環境變化、行業競爭加劇、市場需求波動、技術創新等因素對公司戰略目標實現的影響。市場風險：包括利率風險、匯率風險、股票價格風險、商品價格風險等市場價格波動對公司財務狀況和經營成果的影響。信用風險：包括客戶信用狀況惡化、供應商違約、合作伙伴失信等導致的風險。操作風險：包括內部流程不完善、人員失誤、系統故障、外部事件等引發的風險。合規風險：包括法律法規、監管要求、行業規范等遵循性方面的風險。其他風險：如自然災害、社會突發事件等不可抗力因素對公司造成的風險。2.風險識別方法問卷調查法：設計風險調查問卷，向各部門、各層級員工廣泛征求意見，識別潛在風險。流程圖法：繪制公司業務流程流程圖，分析流程中的關鍵環節和風險點。財務報表分析法：通過對公司財務報表的分析，識別財務風險和經營風險。頭腦風暴法：組織相關人員進行頭腦風暴會議，集思廣益，識別各類風險。案例分析法：借鑒同行業或其他公司的風險案例，分析公司可能面臨的類似風險。風險評估1.風險評估標準可能性：評估風險發生的概率，分為高、中、低三個等級。影響程度：評估風險對公司戰略目標、財務狀況、經營成果等方面的影響程度，分為重大、較大、一般、較小四個等級。2.風險評估方法定性評估方法：根據風險發生的可能性和影響程度，采用專家打分、層次分析法等方法，對風險進行定性評估，并確定風險等級。定量評估方法：對于能夠量化的風險，如市場風險、信用風險等，采用統計分析、模型計算等方法，對風險進行定量評估，并確定風險價值。3.風險評估報告風險管理部門應定期（每年至少一次）對公司面臨的風險進行全面評估，并撰寫風險評估報告。風險評估報告應包括風險識別的過程和結果、風險評估的方法和標準、風險等級的確定、風險趨勢分析以及風險管理建議等內容。風險評估報告應提交公司管理層和董事會審議，作為公司制定風險應對策略的重要依據。風險應對策略風險規避對于風險發生可能性高且影響程度重大的風險，公司應采取風險規避策略，即通過停止相關業務活動、退出特定市場或領域等方式，避免風險的發生。風險降低1.風險控制措施對于風險發生可能性較高但影響程度較大的風險，公司應采取風險降低策略，通過制定和實施風險控制措施，降低風險發生的概率或減輕風險的影響程度。風險控制措施包括但不限于：完善內部管理制度、加強內部控制、優化業務流程、提高員工素質、加強信息系統建設、購買保險等。2.風險監控與改進公司應建立風險監控機制，對風險控制措施的執行情況進行實時監控，及時發現和解決問題。風險管理部門應定期對風險控制措施的有效性進行評估，根據評估結果及時調整和改進風險控制措施，確保風險得到有效降低。風險轉移對于風險發生可能性較低但影響程度重大的風險，公司可采取風險轉移策略，即通過購買保險、簽訂合同等方式，將風險轉移給其他方。風險接受對于風險發生可能性低且影響程度較小的風險，公司可采取風險接受策略，即不采取額外的風險應對措施，而是在風險發生時承擔相應的損失。風險管理組織體系風險管理委員會1.組成人員：風險管理委員會由公司董事長擔任主任，總經理擔任副主任，其他高級管理人員為成員。2.職責權限審議公司風險管理戰略、政策和程序，確保其與公司戰略目標相一致。審批公司風險評估報告，確定公司風險偏好和風險容忍度。審議公司重大風險應對策略，決策重大風險事件的處理方案。監督公司風險管理工作的開展情況，對風險管理部門的工作進行指導和評價。其他與風險管理相關的重大事項。風險管理部門1.部門設置：公司設立獨立的風險管理部門，負責統籌協調公司的風險管理工作。2.職責權限制定和完善公司風險管理制度、流程和方法。組織開展公司風險識別、評估和分析工作，編制風險評估報告。制定公司風險應對策略和方案，組織實施風險控制措施。建立公司風險監控機制，對風險狀況進行實時監控和預警。定期向風險管理委員會和管理層匯報公司風險管理工作情況。其他與風險管理相關的具體工作。各業務部門1.職責分工：各業務部門是本部門風險管理的第一責任人，負責識別、評估和應對本部門業務活動中的風險。2.工作要求各業務部門應建立健全本部門的風險管理制度和流程，明確風險管理人員和職責。定期對本部門業務活動進行風險排查，及時發現和報告潛在風險。制定本部門風險應對措施，并組織實施，確保風險得到有效控制。配合風險管理部門開展公司整體風險管理工作，提供相關數據和信息。風險管理流程風險識別流程1.信息收集：風險管理部門會同各業務部門，收集與公司內外部環境、業務活動相關的信息，包括市場動態、政策法規、行業標準、歷史數據等。2.風險識別：采用問卷調查法、流程圖法、財務報表分析法、頭腦風暴法、案例分析法等方法，對收集到的信息進行分析，識別潛在風險。3.風險分類：將識別出的風險按照戰略風險、市場風險、信用風險、操作風險、合規風險等類別進行分類。4.風險登記：對識別出的風險進行詳細登記，建立風險數據庫，記錄風險的基本信息、識別過程、評估結果等。風險評估流程1.確定評估標準：根據風險發生的可能性和影響程度，制定風險評估標準，明確高、中、低三個可能性等級和重大、較大、一般、較小四個影響程度等級的劃分依據。2.選擇評估方法：根據風險的性質和特點，選擇定性評估方法或定量評估方法進行風險評估。3.實施評估：組織相關人員按照選定的評估方法，對風險進行評估，確定風險發生的可能性和影響程度等級。4.計算風險等級：根據風險評估標準，計算風險等級，風險等級=可能性等級×影響程度等級。5.風險排序：按照風險等級對風險進行排序，確定重點關注的風險。風險應對流程1.制定應對策略：根據風險評估結果，結合公司風險偏好和風險容忍度，制定風險應對策略，包括風險規避、風險降低、風險轉移、風險接受等。2.制定應對方案：針對每種風險應對策略，制定具體的風險應對方案，明確責任部門、責任人、實施步驟、時間節點等。3.審批應對方案：風險應對方案應提交風險管理委員會審議，經批準后組織實施。4.實施應對措施：責任部門按照風險應對方案組織實施風險控制措施，確保風險得到有效應對。5.監控與反饋：風險管理部門對風險應對措施的執行情況進行實時監控，及時發現和解決問題，并定期向風險管理委員會和管理層反饋風險應對效果。風險監控與預警風險監控1.監控指標設定：風險管理部門應根據公司風險狀況和管理要求，設定風險監控指標，包括財務指標、業務指標、合規指標等。2.監控頻率：根據風險的性質和特點，確定風險監控的頻率，定期（每月、每季度、每年等）對風險狀況進行監控。3.監控方法：采用定期報告、數據分析、現場檢查、專項審計等方法，對風險監控指標進行監測和分析。4.監控報告：風險管理部門應定期撰寫風險監控報告，向風險管理委員會和管理層匯報公司風險狀況、風險監控指標的變化情況以及風險應對措施的執行效果等。風險預警1.預警指標設定：根據風險監控指標的變化情況，設定風險預警指標和預警閾值。2.預警級別劃分：根據風險預警指標與預警閾值的偏離程度，將風險預警級別分為紅色預警（高風險）、橙色預警（較高風險）、黃色預警（一般風險）、藍色預警（低風險）四個等級。3.預警發布：當風險預警指標達到預警閾值時，風險管理部門應及時發布風險預警信息，通知相關部門和人員采取應對措施。4.預警處置：相關部門和人員接到風險預警信息后，應立即組織分析原因，制定并實施風險處置措施，降低風險影響程度。同時，及時向風險管理部門反饋預警處置情況。風險管理信息系統系統建設目標建立一套完善的風險管理信息系統，實現風險信息的集中管理、風險評估的自動化、風險監控與預警的實時化，提高公司風險管理工作的效率和效果。系統功能模塊1.風險信息管理模塊：用于收集、存儲、整理和分析公司內外部風險信息，建立風險數據庫。2.風險評估模塊：采用定性和定量評估方法，對風險進行自動評估，確定風險等級。3.風險應對模塊：根據風險評估結果，制定風險應對策略和方案，并跟蹤風險應對措施的執行情況。4.風險監控與預警模塊：實時監控風險狀況，當風險預警指標達到預警閾值時，自動發出預警信息。5.報表與分析模塊：生成各類風險管理報表，提供風險分析和決策支持。系統運行與維護1.系統運行管理：制定風險管理信息系統運行管理制度，明確系統操作流程、用戶權限管理、數據備份與恢復等要求，確保系統的穩定運行。2.系統維護管理：定期對風險管理信息系統進行維護和升級，確保系統功能的完善和數據的安全。同時，及時處理系統運行中出現的問題，保障系統的正常使用。風險管理培訓與溝通風險管理培訓1.培訓目標：提高公司全體員工的風險意識和風險管理能力，確保風險管理工作的有效開展。2.培訓內容：包括風險管理理念、風險識別方法、風險評估技術、風險應對策略、風險監控與預警等方面的知識和技能。3.培訓方式：采用內部培訓、外部培訓、在線學習、案例分析、模擬演練等多種方式進行培訓。4.培訓計劃：風險管理部門應制定年度風險管理培訓計劃，明確培訓對象、培訓內容、培訓時間、培訓方式等，并組織實施。風險管理溝通1.溝通機制：建立健全風險管理溝通機制，確保風險管理信息在公司內部的及時、準確傳遞。2.溝通渠道：通過定期會議、報告、內部刊物、電子郵件、風險管理信息系統等渠道，加強風險管理部門與各業務部門之間的溝通與交流。3.溝通內容：包括風險狀況、風險應對措施、風險監控結果、風險管理工作進展等方面的信息。風險管理監督與考核風險管理監督1.內部審計監督：公司內部審計部門應定期對公司風險管理工作進行審計，檢查風險管理體系的健全性、有效性，風險應對措施的執行情況等，并出具審計報告。2.管理層監督：公司管理層應定期對風險管理工作進行檢查和指導，確保風險管理工作符合公司戰略目標和風險管理要求。3.外部監督：接受政府監管部門、行業協會等外部機構的監督檢查，及時整改發現的問題。風險管理考核1.考核指標設定：制定風險管理考核指標體系，包括風險識別準確率、風險評估準確性、風險應對措施有效性、風險監控與預警及時性等方面的指標。2.考核方式：采用